Nueva investigación: Estudio del costo global del ransomware. Vea qué le están costando las infracciones.
Obtener el informe
Blog
/
Productos Illumio

Características poco conocidas de Illumio Core: Integraciones de Plataformas SOAR

Christer Swartz
,
Director de Mercadotecnia de Soluciones
February 5, 2024
23 min. lectura

En esta serie, los expertos en seguridad de Illumio destacan las características menos conocidas (pero no menos poderosas) de Núcleo de Illumio.

Las brechas y los ataques de ransomware están evolucionando rápidamente, más rápido de lo que pueden reaccionar muchas tecnologías tradicionales de prevención y detección.

El malware puede propagarse en segundos, mucho más rápido de lo que cualquier humano puede responder. Es una verdad de la industria de ciberseguridad que el eslabón más débil en cualquier arquitectura de seguridad se encuentra entre el teclado y la silla. La solución para la propagación automatizada de malware debe ser una respuesta de seguridad igualmente automatizada.

A través de la integración de Illumio Core con plataformas SOAR de terceros, puede estar seguro de que el malware nuevo y desconocido se aislará y contendrá automáticamente.

Por qué la contención de brechas es importante ahora

Todo el malware comparte una cosa en común: les gusta moverse.

La primera carga de trabajo violada rara vez es el destino previsto. Se utiliza como un “pie en la puerta” de su red para recopilar información. Con esta información, el malware y su sistema de control intercambian tráfico de comando y control. En última instancia, el sistema de control instruye al malware sobre cómo propagarse a través de la red.

¿La mala noticia? Todo esto sucede en cuestión de segundos.

Las brechas y los ataques de ransomware son inevitables, y sus herramientas tradicionales de prevención y detección no son suficientes para detener los ataques actuales. Las organizaciones de todos los tamaños, geografías e industrias deben priorizar las estrategias de contención de brechas además de sus herramientas de prevención y detección. Esto garantiza que la próxima violación no se convierta en un evento catastrófico que detenga las operaciones, exponga datos confidenciales y disminuya la confianza de sus clientes, partes interesadas y empleados.

La ciberseguridad moderna se define pasando de la prevención de brechas a Supervivencia por violación. Detener la propagación de brechas debe ser una prioridad tan fuerte como evitar que ocurra una violación.

Prepárese proactivamente para las brechas con Illumio

Desafortunadamente, ninguna solución de prevención de brechas será 100 por ciento efectiva; se producirá una violación. Una vez que se produce esa inevitable brecha, Illumio impide que se propague a los hosts vecinos deshabilitando proactivamente los puertos abiertos en todos los hosts.

La mayoría de los hosts y sus cargas de trabajo no necesitan establecer conexiones entre sí. Más bien, por lo general solo necesitan conectarse a un pequeño conjunto de recursos comunes o hacer conexiones salientes. Por ejemplo, es raro que todas las cargas de trabajo implementadas en un centro de datos o un entorno de nube necesiten conectarse directamente entre sí.

Para mitigar el riesgo que los puertos abiertos innecesariamente pueden causar, Illumio puede imponer cargas de trabajo de una de dos maneras:

  • Aplicación selectiva: Los puertos específicos están bloqueados y todo el resto del tráfico está permitido.
  • Cumplimiento total: Los puertos específicos están bloqueados y todo el resto del tráfico está denegado.

La aplicación selectiva se puede utilizar cuando sabe qué tráfico no desea permitir entre cargas de trabajo, como RDP y SSH. Sin embargo, el malware está en constante evolución y encuentra nuevos puertos para usar. Debido a esto, es mejor usar la aplicación completa, ya que es mucho más eficaz para bloquear la propagación de malware. En plena aplicación, Illumio deshabilitará todos los puertos en todas las cargas de trabajo a cualquier escala y luego permitirá abrir puertos por excepción según sea necesario.

El resultado se verá como el ejemplo de aplicación completa a continuación. En la imagen del lado izquierdo, se impide que las cargas de trabajo se comuniquen (flechas rojas) porque Illumio ha deshabilitado los puertos abiertos predeterminados. En la imagen del lado derecho, Illumio ha habilitado excepciones (flechas verdes) para permitir únicamente el tráfico entre grupos de aplicaciones específicos a través de puertos específicos:

Illumio preemptively closes all open ports, then enables required exceptions.

En plena aplicación con Illumio, los hosts infectados no permitirán que el malware viaje muy lejos porque solo un puñado de puertos están abiertos, algo que es cierto independientemente de cuán nuevo o complejo sea el malware. Esto hace que el radio de explosión de un ataque se reduzca significativamente, convirtiendo lo que podría haber sido una brecha catastrófica en un pequeño incidente de seguridad que no afecta las operaciones ni requiere costos de remediación desmedidos.

Automatice los cambios de políticas con las integraciones SOAR de Illumio

Si algo es cierto en ciberseguridad, es que las cosas cambian constantemente. El panorama actual de amenazas y la complejidad de las redes actuales significan que las medidas de seguridad no pueden permanecer estáticas. Las organizaciones deben tener una manera de actualizar las políticas de cumplimiento en tiempo real.

Illumio permite cambios totalmente automatizados y en tiempo real a sus políticas de seguridad mediante integraciones con plataformas SOAR (Security Orchestration, Automation and Response).

Es importante tener en cuenta que las plataformas SOAR son diferentes de las plataformas SIEM (Security Information and Event Management). Illumio puede reenviar logs a una plataforma SIEM como Splunk para analizar eventos registrados en cargas de trabajo administradas por Illumio, buscando banderas rojas. Pero si encuentra alguno, el SIEM no tiene forma de enviar comandos de regreso a Illumio para cerrar puertos en riesgo. Esta capacidad se habilita mediante una plataforma SOAR.

Illumio se integra con tres sistemas SOAR de terceros: Splunk SOAR, IBM QRadar SOAR, y Palo Alto Networks Cortex XSOAR. Las integraciones Illumio + SOAR ofrecen una defensa rápida en profundidad a través de estos pasos:

  • Las plataformas SOAR monitorean el panorama de amenazas, buscando un nuevo malware de día cero previamente desconocido que esté utilizando puertos específicos para propagarse.
  • Si la plataforma SOAR ve que el nuevo malware está utilizando un nuevo puerto para propagarse, enviará inmediatamente y automáticamente llamadas API al motor PCE de Illumio a través de un complemento en el Marketplace de cada proveedor. Esto le indica a Illumio que cierre los puertos en todas las cargas de trabajo administradas.
  • Illumio cerrará automáticamente los puertos objetivo del malware de día cero. Esto protegerá proactivamente las cargas de trabajo del malware, incluso si aún no ha llegado. Esto se habilita de inmediato, sin necesidad de depender de la intervención humana.
Through its integration with leading SOAR platforms, Illumio can proactively secure vulnerable ports targeted by zero-day malware with an automated workflow.
A través de su integración con las principales plataformas SOAR, Illumio puede proteger proactivamente los puertos vulnerables dirigidos por malware de día cero con un flujo de trabajo automatizado.

Segmentación de confianza cero de Illumio: Responda a los ciberataques más rápido

Además de visibilidad completa y microsegmentación granular, el Plataforma de Segmentación de Confianza Cero (ZTS) Illumino proporciona una respuesta confiable, escalable y totalmente automatizada a las amenazas de ciberseguridad en constante evolución.

El malware quiere propagarse, e Illumio, junto con las plataformas SOAR, puede cerrar automáticamente los puertos, evitando que el malware se propague a través de un flujo de trabajo totalmente automatizado. Con la próxima violación o ataque de ransomware siempre a la vuelta de la esquina, Illumio ayuda a su organización a garantizar que las brechas no se propaguen por el resto de la red ni se conviertan en una crisis que afecte al negocio.

Para obtener más información de Illumio ZTS, contáctenos hoy para una consulta gratuita y una demostración.

Temas relacionados

Core

Artículos relacionados

Cómo evitar que el etiquetado se devierta en un bloqueador de segmentación
Productos Illumio

Cómo evitar que el etiquetado se devierta en un bloqueador de segmentación

Zero Trust ha cambiado la forma en que las organizaciones piensan sobre la seguridad. Histórico intentaremos identificar todo lo que fuera “malo” y bloquearlo. Pero un enfoque Cero Confianza consiste en identificar lo que es “bueno” verificando la fuente de comunicación y lo que está de más.

Leer más
Características poco conocidas de Illumio ASP: comprobaciones de certificados de Policy Compute Engine
Productos Illumio

Características poco conocidas de Illumio ASP: comprobaciones de certificados de Policy Compute Engine

En esta serie rápida, el equipo de administración de productos de Illumio destacará las características menos conocidas (pero no menos poderosas) de Illumio ASP.

Leer más
Nuevas actualizaciones de Illumio Core aceleran la seguridad de confianza cero
Productos Illumio

Nuevas actualizaciones de Illumio Core aceleran la seguridad de confianza cero

Las actualizaciones de Illumio Core acelerarán el camino de su organización hacia la Seguridad de Confianza Cero. Obtenga más información en esta entrada de blog.

Leer más
Illumio se integra con Splunk para mejorar el tiempo de respuesta de las operaciones de seguridad
Asociados de negocios e integraciones

Illumio se integra con Splunk para mejorar el tiempo de respuesta de las operaciones de seguridad

La tecnología de microsegmentación adaptativa de Illumino se está convirtiendo rápidamente en una parte fundamental de la pila de seguridad y en una herramienta esencial para proteger las aplicaciones que se ejecutan en entornos de centros de datos y nube.

Leer más
Optimización de las operaciones de seguridad con Illumio e IBM QRadar
Asociados de negocios e integraciones

Optimización de las operaciones de seguridad con Illumio e IBM QRadar

Cómo la aplicación Illumio para QRadar mejora SIEM para aislar rápidamente los ataques y ver posibles compromisos.

Leer más
Cómo la segmentación de confianza cero detiene el ransomware 4 veces más rápido que la detección y la respuesta por sí solas
Segmentación de confianza cero

Cómo la segmentación de confianza cero detiene el ransomware 4 veces más rápido que la detección y la respuesta por sí solas

Una emulación reciente de ataque de ransomware realizada por Bishop Fox, descubrió que la Segmentación de Confianza Cero detiene la propagación del ransomware en menos de 10 minutos.

Leer más

Assume Breach.
Minimize Impact.
Increase Resilience.

Ready to learn more about Zero Trust Segmentation?

Más información